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Antwort 

der Bundesregierung 


Deutscher Bundestag 

18. Wahlperiode 


auf die Kleine Anfrage der Abgeordneten Dr. Konstantin von Notz, 
Hans-Christian Ströbele, Volker Beck (Köln), weiterer Abgeordneter und der 
Fraktion BÜNDNIS 90/DIE GRÜNEN 
- Drucksache 18/13413 - 


Einsatz von Schadsoftware (sog. Bundestrojaner) und Zurückhaltung und 
Ausnutzung von Sicherheitslücken durch Bundesbehörden 


Vorbemerkung der Fragesteller 

Seit der Änderung des Bundeskriminalamtgesetzes (BKAG) im April 2017 hat 
das BKA in § 49 BKAG die Ermächtigung zum präventiv -polizeilichen Einsatz 
von sog. Staatstrojanem erhalten. Dabei wurde in § 49 BKAG u. a. verfahrens- 
rechtlich nicht sichergestellt, „dass die vom BKA einzusetzende Überwa- 
chungs-Software Mindestanforderungen an die Datensicherheit erfüllen“ (Bu- 
ermeyer, Stellungnahme für die Öffentliche Anhörung zum Gesetzentwurf zur 
Neustrukturierung des BKAG, Ausschussdrucksache 18(4)806 E). Die Rechts- 
grundlage für den Einsatz der Staatstrojaner führt zu einem Interesse der Sicher- 
heitsbehörden, Sicherheitslücken offen zu halten, um Systeme von Zielpersonen 
infiltrieren zu können und nicht im Sinne der Cybersicherheit und des Schutzes 
aller Bürgerinnen und Bürger an die zuständigen Behörden und die Betroffenen 
zu melden, damit diese geschlossen werden. Das Gesetz tritt am 25. Mai 2018 
in Kraft. Bezüglich der Frage, oh die vom BKA entwickelten Trojaner sowie 
die zusätzlich erworbenen, kommerziellen Trojanerprodukte verfassungskon- 
form eingesetzt werden können, bestehen aus Sicht der Fragesteller weiterhin 
erhebliche Zweifel. Die Rechtmäßigkeit des Einsatzes und die Verfassungskon- 
formität des Programms wären u. a. nur über die vollständige Offenlegung des 
Quellcodes nachzuweisen. Dass die Schadsoftware wie im Falle der sog. Quel- 
len-Telekommunikationsüberwachung (Quellen-TKÜ) ausschließlich auf 
Kommunikationsvorgänge beschränkt werden kann, halten Experten jedoch für 
kaum möglich (vgl. https://netzpolitik.org/2017/staatstrojaner-bundestag- 
beschliesst-diese-woche-das-krasseste-ueberwachungsgesetz-der-legislatur 
Periode/). Durch die Schaffung neuer Rechtsgrundlagen in der Strafprozessord- 
nung (StPO) zum Einsatz von Trojanern in der Strafverfolgung verschärft sich 
die Problematik der vom BKA entwickelten Software. Es besteht die Möglich- 
keit, dass die Software massenhaft in der Strafverfolgung eingesetzt werden 
wird und sich die Risiken sowohl für die Rechte der Bürgerinnen und Bürger 
als auch für die IT-Sicherheit dadurch potenzieren. Zudem wurden jüngst Be- 
richte darüber öffentlich, dass das BKA jedoch nicht einmal die passende Über- 
wachungssoftware besitze, um die als geringfügigerer Eingriff geltende, sog. 
Quellen-TKÜ durchführen zu können. So funktioniere der neue Bundestrojaner 
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nach Informationen der „taz“ nur auf Computern mit den Betriebssystemen 
Windows 7 und Windows 8. An einer Version für Windows 10 werde gearbei- 
tet. Noch gar keine Lösung gibt es angeblich für die gängigen Betriebssysteme 
von Smartphones - wo eigentlich der Hauptbedarf bestehe (taz vom 20. Januar 
2017, www.taz.de/15373564/). 


Vorbemerkung der Bundesregierung 

Befugnisse zum verdeckten Eingriff in informationstechnische Systeme (§ 49 des 
Gesetzes zur Neustrukturierung des Bundeskriminalamtgesetzes - BKAG-neu) 
und zur Überwachung der Telekommunikation, auch mittels Eingriffs mit techni- 
schen Mitteln in vom Betroffenen genutzte informationstechnische Systeme (§51 
BKAG-neu) durch das Bundeskriminalamt (BKA) werden nicht erst mit dem 
BKAG-neu mit Wirkung vom 25. Mai 2018 in das BKAG eingeführt, sondern 
waren bereits mit dem Gesetz zur Abwehr von Gefahren des internationalen Ter- 
rorismus durch das Bundeskriminalamt (BKAG) mit Wirkung zum 1 . Januar 
2009 eingefuhrt worden (§ 20k und § 201 BKAG). Das Bundesverfassungsgericht 
hat in seiner Entscheidung vom 20. April 2016 diese Befugnisse im Grundsatz 
für verfassungsgemäß erachtet (BVerfG Az. 1 BvR 966/09, Rn. 208 ff. — zitiert 
nach juris — für § 20k BKAG und Rn. 227 ff). Demgemäß wurden die Befugnisse 
in der Neuregelung im Kern nicht geändert. 

Die Änderangen des § 20k BKAG (§ 49 BKAG-neu) und des § 201 BKAG (§ 5 1 
BKAG-neu) setzen die vom BVerfG aufgestellten Anforderung an 

• den Schutz des Kembereichs privater Lebensgestaltung, 

• die ausdrückliche Regelung der Gefahrenlage, die einen Eingriff in informati- 
onstechnische Systeme bzw. eine Überwachung der Telekommunikation recht- 
fertigt sowie 

• den Antrag zur Durchführung einer Maßnahme 
um. 

Als „Trojaner“ werden in der Informationstechnik in der Regel Schadprogramme 
bezeichnet, die widerrechtlich auf informationstechnischen Systemen ausgeführt 
werden und zumeist als nützliche Anwendung getarnt sind, im Hintergrund aber 
ohne Wissen des Anwenders eine andere Funktion erfüllen. 

Das BKA setzt deshalb keine „Trojaner“ ein, sondern kann im Rahmen seiner 
gesetzlichen Befugnisse bei Vorliegen der rechtlichen Voraussetzungen Software 
zur Quellen-Telekommunikationsüberwachung oder/und Online-Durchsuchung 
einsetzen, welche engen rechtsstaatlichen Anforderangen genügt. Bei dieser Soft- 
ware handelt es sich insbesondere um keine „Schadsoftware“. 

Die Bundesregierung ist nach sorgfältiger Abwägung zu der Auffassung gelangt, 
dass eine Beantwortung der Fragen 1, 2, 4, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 
17, 18, 19, 20, 23, 25, 26, 27, 28, 29, 30, 31, 32 in offener Form ganz oder teil- 
weise nicht erfolgen kann. Die in den Fragen 1, 2, 4, 6, 7, 8, 9, 10, 1 1, 12, 13, 14, 
15, 16, 17, 18, 19, 20, 23, 25, 26, 27, 28, 29, 30, 31, 32 erbetenen Auskünfte sind 
geheimhaltungsbedürftig, weil sie Informationen enthalten, die im Zusammen- 
hang mit der Arbeitsweise und Methodik der von der Kleinen Anfrage betroffe- 
nen Dienststellen des Bundes und insbesondere deren Aufklärangsaktivitäten und 
Analysemethoden stehen. Die Antworten auf die Kleine Anfrage beinhalten zum 
Teil detaillierte Einzelheiten zu ihren technischen Fähigkeiten und ermittlungs- 
taktischen Verfahrensweisen. Aus ihrem Bekanntwerden könnten Rückschlüsse 
auf ihre Vorgehensweise, Fähigkeiten und Methoden gezogen werden. Deshalb 
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sind einzelne Informationen gemäß der Allgemeinen Verwaltungsvorschrift des 
Bundesministeriums des Innern zum materiellen und organisatorischen Schutz 
von Verschlusssachen (VS-Anweisung - VSA) als „VS-Nur für den Dienstge- 
brauch“ eingestuft und werden als nicht zur Veröffentlichung in einer Bundes- 
tagsdrucksache bestimmte Anlage übermittelt. 

Eine Beantwortung der Fragen 6 und 7 für das Bundesamt für Verfassungsschutz 
(BfV) kann nicht in offener Form erfolgen. Die erbetenen Auskünfte sind geheim- 
haltungsbedürftig, weil sie Informationen enthalten, die im Zusammenhang mit 
der Arbeitsweise und Methodik des BfV und insbesondere dessen Aufklärungs- 
aktivitäten und Analysemethoden stehen. Der Schutz vor allem der technischen 
Aufklärungsfähigkeiten des BfV im Bereich der Femmeldeaufklärung stellt für 
deren Aufgabenerfüllung einen überragend wichtigen Grundsatz dar. Er dient der 
Auffechterhaltung der Effektivität nachrichtendienstlicher Informationsbeschaf- 
fung durch den Einsatz spezifischer Fähigkeiten und damit dem Staatswohl. Eine 
Veröffentlichung von Einzelheiten betreffend solche Fähigkeiten würde zu einer 
wesentlichen Schwächung der dem BfV zur Verfügung stehenden Möglichkeiten 
zur Informationsgewinnung führen. 

Dies würde für die Auftragserfüllung des BfV erhebliche Nachteile zur Folge ha- 
ben und kann für die Interessen der Bundesrepublik Deutschland schädlich sein. 
Insofern könnte die Offenlegung entsprechender Informationen die Sicherheit der 
Bundesrepublik Deutschland gefährden oder ihren Interessen schweren Schaden 
zufügen. 

Deshalb sind die entsprechenden Informationen als Verschlusssache gemäß VSA 
mit dem VS-Grad „GEHEIM“ eingestuft und werden zur Einsichtnahme durch 
die Abgeordneten der Geheimschutzstelle des Deutschen Bundestags übermittelt. 

Darüber hinaus ist die Bundesregierung nach sorgfältiger Abwägung zu der Auf- 
fassung gelangt, dass eine Beantwortung der Fragen 4 und 6 bis 8 für den Bun- 
desnachrichtendienst (BND) sowie der Fragend, 8, 14, 15 und 26-31 für das 
BfV nicht - auch nicht in eingestufter Form - erfolgen kann. Gegenstand der Fra- 
gen sind solche Informationen, die in besonderem Maße das Staatswohl berühren 
und daher in einer zur Veröffentlichung vorgesehenen Fassung nicht behandelt 
werden können. Das verfassungsrechtlich verbürgte Frage- und Informations- 
recht des Deutschen Bundestages gegenüber der Bundesregierung wird durch 
gleichfalls Verfassungsrecht genießende schutzwürdige Interessen wie das 
Staatswohl begrenzt. Eine Bekanntgabe von Einzelheiten zur Ausleitung oder 
Lesbarmachung der über Messenger-Dienste und andere verschlüsselte Kommu- 
nikationsmittel erfolgenden elektronischen Kommunikation würde weitgehende 
Rückschlüsse auf die technischen Fähigkeiten und damit mittelbar auch auf die 
technische Ausstattung und das Aufklärungspotential des BND und des BfV zu- 
lassen. Dadurch könnten die Fähigkeiten des BND und des BfV, nachrichten- 
dienstliche Erkenntnisse im Wege der technischen Aufklärung zu gewinnen, in 
erheblicher Weise negativ beeinflusst werden. Die Gewinnung von Informatio- 
nen durch technische Aufklärung ist für die Sicherheit der Bundesrepublik 
Deutschland und für die Aufgabenerfüllung des BND und des BfV jedoch uner- 
lässlich. Sofern solche Informationen entfallen oder wesentlich zurückgehen soll- 
ten, würden empfindliche Informationslücken auch im Hinblick auf die Sicher- 
heitslage der Bundesrepublik Deutschland drohen. Dies betrifft insbesondere die 
Möglichkeiten zur Aufklärung nationaler und internationaler terroristischer Be- 
strebungen, bei denen derartige Kommunikationsmittel in besonderem Maße von 
den beobachteten Personen genutzt werden. 
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Insofern birgt eine Offenlegung der angefragten Informationen die Gefahr, dass 
Einzelheiten zur konkreten Methodik und zu aus den vorgenannten Gründen im 
hohen Maße schutzwürdigen spezifischen Fähigkeiten des BND oder des BfV 
bekannt würden. Infolgedessen könnten sowohl staatliche als auch nichtstaatliche 
Akteure Rückschlüsse auf spezifische Vorgehensweisen und Fähigkeiten des 
BND und des BfV gewinnen. 

Dies würde folgenschwere Einschränkungen der Informationsgewinnung bedeu- 
ten, womit letztlich der gesetzliche Auftrag des BND — die Sammlung und Aus- 
wertung von Informationen über das Ausland, die von außen- und sicherheitspo- 
litischer Bedeutung für die Bundesrepublik Deutschland sind (§ 1 Absatz 2 des 
Gesetzes über den Bundesnachrichtendienst — BNDG) - und des BfV - Samm- 
lung und Auswertung von Informationen über Bestrebungen, die gegen die frei- 
heitliche demokratische Grandordnung, den Bestand oder die Sicherheit des Bun- 
des oder eines Landes gerichtet sind (§ 3 Absatz 1 des Gesetzes über die Zusam- 
menarbeit des Bundes und der Länder in Angelegenheiten des Verfassungsschut- 
zes und über das Bundesamt für Verfassungsschutz - BVerfSchG) — nicht mehr 
sachgerecht erfüllt werden könnte. 

Eine VS-Einstuflmg und Hinterlegung der angefragten Informationen in der Ge- 
heimschutzstelle des Deutschen Bundestages würde ihrer erheblichen Brisanz im 
Hinblick auf die Bedeutung der Methoden für die Aufgabenerfüllung des BND 
und des BfV nicht ausreichend Rechnung tragen, weil insoweit auch ein gering- 
fügiges Risiko des Bekanntwerdens unter keinen Umständen hingenommen wer- 
den kann (vgl. BVerfGE 124, 78 [139]). Schon die Angabe, ob und in welchem 
Umfang der BND oder das BfV von derartigen Methoden Gebrauch machen, 
könnte zu einer Änderung des Kommunikationsverhaltens der betreffenden beo- 
bachteten Personen führen, die eine weitere Aufklärung der von diesen verfolgten 
Bestrebungen und Planungen unmöglich machen würde. In diesem Fall wäre ein 
Ersatz durch andere Instrumente nicht möglich. 

Aus dem Vorgesagten ergibt sich, dass die erbetenen Informationen derart schutz- 
bedürftige Geheimhaltungsinteressen berühren, dass das Staatswohl gegenüber 
dem parlamentarischen Informationsrecht überwiegt. Insofern muss ausnahms- 
weise das Fragerecht der Abgeordneten gegenüber den Geheimhaltungsinteres- 
sen des BND und des BfV zurückstehen. 

1. Wie oft gebrauchte das BKA seit 2008 seine Befugnisse gemäß den §§ 20g 
bis 20n BKAG (bitte nach Norm, Jahr und Zahl der je Betroffenen aufschlüs- 
seln)? 

Es wird auf die Vorbemerkung sowie den als Verschlusssache mit dem Einstu- 
fungsgrad „VS - Nur für den Dienstgebrauch“ eingestuften Antwortteil gemäß 
der Vorbemerkung der Bundesregierung verwiesen.* 

2. In wie vielen Fällen davon war die gezielte Ausnutzung von sog. Zero-Day- 
Sicherheitslücken Grundlage und Voraussetzung des Einsatzes? 

Es wird auf die Vorbemerkung sowie den als Verschlusssache mit dem Einstu- 
fungsgrad „VS - Nur für den Dienstgebrauch“ eingestuften Antwortteil gemäß 
der Vorbemerkung der Bundesregierung verwiesen.* 


* Das Bundesministerium des Innern hat die Antwort als „VS - Nur für den Dienstgebrauch“ eingestuft. 

Die Antwort ist im Parlamentssekretariat des Deutschen Bundestages hinterlegt und kann dort von Berechtigten eingesehen werden. 
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3. Wie viele allgemein technisch unterscheidbare Verfahren der gezielten Aus- 
nutzung von IT- Sicherheitslücken einzelner Kommunikationsanbieter unter- 
halb der Schwelle des Trojanereinsatzes (vgl. dazu etwa https://motherboard. 
vice.com/de/article/exklusiv-wie-das-bka-telegram-accounts-von-terrorver 
dächtigen) werden von Seiten der Bundesregierung bislang unterschieden 
(bitte im Einzelnen erläutern)? 

Seitens der Bundesregierung wurde bislang keine allgemeine technische Unter- 
scheidung im Sinne der Fragestellung durchgefuhrt. 


4. Wie oft kamen diese Verfahren bis zum heutigen Tage jeweils zum Einsatz, 
und auf welcher Rechtsgmndlage konnte dies nach Auffassung der Bundes- 
regiemng geschehen? 

Verfahren wie das in dem in Frage 3 genannten Onlineartikel beschriebene wur- 
den durch die Bundespolizei (BPOL), das Bundesamt für den militärischen Ab- 
schirmdienst (BAMAD) und seitens des Zolls nicht eingesetzt. Im Übrigen wird 
auf die Vorbemerkung sowie den als Verschlusssache mit dem Einstufungsgrad 
„VS - Nur für den Dienstgebrauch“ eingestuften Antwortteil gemäß der Vorbe- 
merkung der Bundesregierung verwiesen.* 

5 . Welche Konsequenzen zieht die Bundesregiemng aus dem landgerichtlichen 
Verfahren zu den Ermittlungen gegen Tatverdächtige der Old-School- 
Society-Gruppe und die im Verfahren sowie in der öffentlichen Diskussion 
dazu aufgeworfenen rechtlichen Fragen (Quelle siehe Frage 3)? 

Die Bundesregierung nimmt zu Einzelheiten eines konkreten landgerichtlichen 
Verfahrens nicht Stellung. 

6. Wie oft sind der Bundesnachrichtendienst, der Militärische Abschirmdienst, 
das Bundesamt für Verfassungsschutz, das BKA, das Zollkriminalamt und 
die Bundespolizei seit 2008 jeweils in Messenger-Dienste-Konten von nach 
dem Grundgesetz geschützten Personen sowie Angehörigen von Drittstaaten 
eingedmngen? 

Durch das BAMAD und die BPOL wurden bislang keine Maßnahmen im Sinne 
der Fragestellung durchgefuhrt. Im Übrigen wird auf die Vorbemerkung, den als 
Verschlusssache mit dem Einstufungsgrad „VS - Nur für den Dienstgebrauch“ 
eingestuften Antwortteil sowie auf den als Verschlusssache mit dem Einstufungs- 
grad „VS-Geheim“ eingestuften Antwortteil gemäß der Vorbemerkung der Bun- 
desregierung verwiesen.** 


7. Auf welcher Rechtsgrundlage erfolgten jeweils diese Zugriffe? 

Es wird auf die Antwort zu Frage 6 und im Übrigen auf die Vorbemerkung, den 
als Verschlusssache mit dem Einstufungsgrad „VS - Nur für den Dienstge- 
brauch“ eingestuften Antwortteil sowie auf den als Verschlusssache mit dem Ein- 
stufungsgrad „VS-Geheim“ eingestuften Antwortteil gemäß der Vorbemerkung 
der Bundesregierung verwiesen." 


* Das Bundesministerium des Innern hat die Antwort als „VS - Nur für den Dienstgebrauch“ eingestuft. 

Die Antwort ist im Parlamentssekretariat des Deutschen Bundestages hinterlegt und kann dort von Berechtigten eingesehen werden. 

** Das Bundesministerium des Innern hat die Antwort als „VS - Geheim“ eingestuft. 

Die Antwort ist in der Geheimschutzstelle des Deutschen Bundestages hinterlegt und kann dort nach Maßgabe der Geheimschutzord- 
nung eingesehen werden. 
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8. In wie vielen Fällen davon waren sog. Zero-Day-Sicherheitslücken Grund- 
lage und Voraussetzung der jeweiligen Maßnahme? 

Es wird auf die Antwort zu Frage 6 und im Übrigen auf die Vorbemerkung sowie 
den als Verschlusssache mit dem Einstufungsgrad „VS - Nur für den Dienstge- 
brauch“ eingestuften Antwortteil gemäß der Vorbemerkung der Bundesregierung 
verwiesen.* 

9. Wie oft wurde die Quellen-TKÜ-Software des BKA (RCIS) bereits seit Frei- 
gabe im Februar 2016 eingesetzt? 

Es wird auf die Vorbemerkung sowie den als Verschlusssache mit dem Einstu- 
fungsgrad „VS — Nur für den Dienstgebrauch“ eingestuften Antwortteil gemäß 
der Vorbemerkung der Bundesregierung verwiesen.* 


10. Auf welcher Rechtsgmndlage erfolgte nach Auffassung der Bundesregie- 
mng der jeweilige Einsatz? 

Es wird auf die Vorbemerkung sowie den als Verschlusssache mit dem Einstu- 
fungsgrad „VS - Nur für den Dienstgebrauch“ eingestuften Antwortteil gemäß 
der Vorbemerkung der Bundesregierung verwiesen.* 

11. Wie oft wurde die Quellen-TKÜ-Software des BKA (FinSpy) seit 2015 ein- 
gesetzt? 

Es wird auf die Vorbemerkung sowie den als Verschlusssache mit dem Einstu- 
fungsgrad „VS - Nur für den Dienstgebrauch“ eingestuften Antwortteil gemäß 
der Vorbemerkung der Bundesregierung verwiesen.* 

12. Auf welcher Rechtsgmndlage erfolgte der jeweilige Einsatz? 

Es wird auf die Vorbemerkung sowie den als Verschlusssache mit dem Einstu- 
fungsgrad „VS - Nur für den Dienstgebrauch“ eingestuften Antwortteil gemäß 
der Vorbemerkung der Bundesregierung verwiesen.* 

13. Von welchen Bundesländern wurde die Quellen-TKÜ-Software des BKA 
nach Kenntnis der Bundesregiemng jeweils erlangt, und in welchen Ländern 
wurde sie bereits wie häufig konkret eingesetzt? 

Es wird auf die Vorbemerkung sowie den als Verschlusssache mit dem Einstu- 
fungsgrad „VS - Nur für den Dienstgebrauch“ eingestuften Antwortteil gemäß 
der Vorbemerkung der Bundesregierung verwiesen.* 

14. Von welchen Behörden wurde die Quellen-TKÜ-Software nach Kenntnis 
der Bundesregiemng wie häufig eingesetzt (Nennung der Behörde und die 
Anzahl der Einsetzung)? 

Durch das BAMAD und die BPOL wurde die Quellen-TKÜ-Software des BKA 
bislang nicht eingesetzt. Im Übrigen wird auf die Vorbemerkung sowie den als 
Verschlusssache mit dem Einstuftmgsgrad „VS - Nur für den Dienstgebrauch“ 

eingestuften Antwortteil gemäß der Vorbemerkung der Bundesregierung verwie- 

* 

sen. 


* Das Bundesministerium des Innern hat die Antwort als „VS - Nur für den Dienstgebrauch“ eingestuft. 

Die Antwort ist im Parlamentssekretariat des Deutschen Bundestages hinterlegt und kann dort von Berechtigten eingesehen werden. 
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15. Um welche Verfahren handelt es sich dabei (Nennung der Deliktsbereiche)? 

Es wird auf die Antwort zu Frage 1 4 und im Übrigen auf die Vorbemerkung sowie 
den als Verschlusssache mit dem Einstufungsgrad „VS - Nur für den Dienstge- 
brauch“ eingestuften Antwortteil gemäß der Vorbemerkung der Bundesregierung 
verwiesen.* 

16. Wie hoch waren die Entwicklungskosten im BKA in Bezug auf die Quellen- 
TKÜ-Software? 

Es wird auf die Vorbemerkung sowie den als Verschlusssache mit dem Einstu- 
fungsgrad „VS - Nur für den Dienstgebrauch“ eingestuften Antwortteil gemäß 
der Vorbemerkung der Bundesregierung verwiesen.* 

17. Wie ist der Stand der Entwicklung der Version RCIS 2.0 für Mobilgeräte? 

Es wird auf die Vorbemerkung sowie den als Verschlusssache mit dem Einstu- 
fungsgrad „VS — Nur für den Dienstgebrauch“ eingestuften Antwortteil gemäß 
der Vorbemerkung der Bundesregierung verwiesen.* 

18. Welche Überprüfungen der Sicherheit der Quellen-TKÜ-Software RCIS ha- 
ben vor ihrer Freigabe im Februar 2016 stattgefunden? 

Es wird auf die Vorbemerkung sowie den als Verschlusssache mit dem Einstu- 
fungsgrad „VS - Nur für den Dienstgebrauch“ eingestuften Antwortteil gemäß 
der Vorbemerkung der Bundesregierung verwiesen.* 

19. Durch wen erfolgte die Überprüfung? 

Es wird auf die Vorbemerkung sowie den als Verschlusssache mit dem Einstu- 
fungsgrad „VS - Nur für den Dienstgebrauch“ eingestuften Antwortteil gemäß 
der Vorbemerkung der Bundesregierung verwiesen.* 

20. Wie hoch waren die Kosten? 

Es wird auf die Vorbemerkung sowie den als Verschlusssache mit dem Einstu- 
fungsgrad „VS — Nur für den Dienstgebrauch“ eingestuften Antwortteil gemäß 
der Vorbemerkung der Bundesregierung verwiesen.* 

2 1 . Hat die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit 
vollumfänglichen Zugriff auf alle zur Prüfung nach dem BDSG erforderli- 
chen Informationen und Daten (einschließlich der Quellcodes der unter- 
schiedlichen Trojanerprodukte) erhalten? 

Hinsichtlich des missverständlichen und unpassenden Begriffs „Trojaner“ wird 
auf die Vorbemerkung der Bundesregierung verwiesen. 

Der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit wird 
durch das BKA vollumfänglicher Zugriff auf alle zur Prüfung nach BDSG erfor- 
derlichen Dalen, einschließlich des Quellcodes der dem BKA zur Verfügung ste- 
henden Softwareprodukte zur Durchführung von Quellen-TKÜ- bzw. Online- 
durchsuchungsmaßnahmen gewährt. 


* Das Bundesministerium des Innern hat die Antwort als „VS - Nur für den Dienstgebrauch“ eingestuft. 

Die Antwort ist im Parlamentssekretariat des Deutschen Bundestages hinterlegt und kann dort von Berechtigten eingesehen werden. 
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22. Wenn nein, warum nicht? 

Auf die Antwort zu Frage 2 1 wird verwiesen. 

23. Auf welche Weise ist das Bundesamt für Sicherheit in der Informationstech- 
nik (BSI) nach wie vor in den Prozess der Erstellung der Trojaner eingebun- 
den? 

Hinsichtlich des missverständlichen und unpassenden Begriffs „Trojaner“ wird 
auf die Vorbemerkung der Bundesregierung verwiesen. 

Im Übrigen wird auf die Vorbemerkung sowie den als Verschlusssache mit dem 
Einstufungsgrad „VS - Nur für den Dienstgebrauch“ eingestuften Antwortteil ge- 
mäß der Vorbemerkung der Bundesregierung verwiesen.* 

24. Stellt die Bundesregiemng den sog. Trojanerleitfaden (Titel: „Bedrohung 
der Informationssicherheit durch den gezielten Einsatz von Schadprogram- 
men“) der Öffentlichkeit zur Verfügung, damit nachvollzogen werden 
kann, welche Empfehlungen diese dafür zuständige Behörde ursprünglich 
gegeben hat, und wenn nein, wamm nicht (vgl. https://netzpolitik.org/ 
20 15/geheime -kommunikation-bsi-programmierte-und-arbeitete-aktiv-am- 
staatstrojaner-streitet-aber-zusammenarbeit-ab/)? 

Im Jahr 2007 hat BSI unter dem Titel „Bedrohung der Informationssicherheit 
durch den gezielten Einsatz von Schadprogrammen“ einen Leitfaden erstellt. 

Dieser sogenannte „Trojaner-Leitfaden“ enthält einen Überblick der damals ak- 
tuellen Gefährdungen, Empfehlungen zu IT- Sicherheitsmaßnahmen gegen spezi- 
alisierte Schadprogramme sowie einen Kürztest zur Einschätzung der eigenen Be- 
drohungslage. Der Leitfaden ist keine Anleitung zur Entwicklung oder zum Ein- 
satz von Schadsoftware. 

Da die Informationstechnologie immer schnelleren Innovationszyklen unterliegt 
und sich damit auch die Angreiferseite in Bezug auf die Entwicklung neuer 
Schadprogramme und Angriffsvektoren immer schneller weiterentwickelt, war 
der „Trojaner-Leitfaden“ im Vergleich zu öffentlich verfügbaren Informationen 
bereits nach kurzer Zeit in Teilen veraltet und überarbeitungsbedürftig. Eine Ver- 
öffentlichung des „Trojaner-Leitfadens“ als Ganzes erschien und erscheint daher 
nicht sinnvoll. Das BSI hat den „Trojaner-Leitfaden“ als Dokument somit auch 
nicht weitergeführt. 

Die im „Trojaner-Leitfaden“ enthaltenen Einschätzungen und Empfehlungen zur 
Abwehr von Schadprogrammen sind in der Folge sowohl in den IT-Grundschutz 
des BSI (zum Beispiel Baustein 1.6 „Schutz vor Schadprogrammen“), in die 
Empfehlungen des BSI zur Cyber-Sicherheit, die auch im Rahmen der Allianz für 
Cyber-Sicherheit erarbeitet werden, als auch in die Intemetseiten des BSI für Pri- 
vatanwender (www.bsi-fuer-buerger.de) eingeflossen. 
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25. Welche Ergebnisse der Quellcodeprüfung der BKA-eigenen Quellen-TKÜ- 
Software RClS lieferte der Bericht des BSI-zertifizierten Softwareprüflabors 
TÜV Informationstechnik GmbH? 

Es wird auf die Vorbemerkung sowie den als Verschlusssache mit dem Einstu- 
fungsgrad „VS - Nur für den Dienstgebrauch“ eingestuften Antwortteil gemäß 
der Vorbemerkung der Bundesregierung verwiesen.* 

26. Kommt die Quellen-TKÜ-Software ebenfalls unter Ausnutzung von ver- 
deckten Software-Schwachstellen (sog. Zero Day Exploits) zum Einsatz? 

Es wird auf die Vorbemerkung sowie den als Verschlusssache mit dem Einstu- 
fungsgrad „VS - Nur für den Dienstgebrauch“ eingestuften Antwortteil gemäß 
der Vorbemerkung der Bundesregierung verwiesen.* 

27. Wer ist konkret mit der Beschaffung der sog. Zero Day Exploits beauftragt? 

Es wird auf die Vorbemerkung sowie den als Verschlusssache mit dem Einstu- 
fungsgrad „VS - Nur für den Dienstgebrauch“ eingestuften Antwortteil gemäß 
der Vorbemerkung der Bundesregierung verwiesen.* 

28. Auf welche Weise werden diese Sicherheitslücken derzeit erworben? 

Es wird auf die Vorbemerkung sowie den als Verschlusssache mit dem Einstu- 
fungsgrad „VS - Nur für den Dienstgebrauch“ eingestuften Antwortteil gemäß 
der Vorbemerkung der Bundesregierung verwiesen.* 

29. Wer kontrolliert und überprüft den Ankauf der Sicherheitslücken? 

Es wird auf die Vorbemerkung sowie den als Verschlusssache mit dem Einstu- 
fungsgrad „VS - Nur für den Dienstgebrauch“ eingestuften Antwortteil gemäß 
der Vorbemerkung der Bundesregierung verwiesen.* 

30. Verfügen die zuständigen Stellen über einen eigenen Etat für den Erwerb der 
entsprechenden Lücken? 

Es wird auf die Vorbemerkung sowie den als Verschlusssache mit dem Einstu- 
fungsgrad „VS - Nur für den Dienstgebrauch“ eingestuften Antwortteil gemäß 
der Vorbemerkung der Bundesregierung verwiesen.* 

31. Wenn ja, wie hoch ist dieser Etat, und bestehen Vorgaben und Richtlinien 
für den Ankauf dieser sog. Zero Day Exploits? 

Es wird auf die Vorbemerkung sowie den als Verschlusssache mit dem Einstu- 
fungsgrad „VS - Nur für den Dienstgebrauch“ eingestuften Antwortteil gemäß 
der Vorbemerkung der Bundesregierung verwiesen.* 
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32. Wird das BKA die von ihm entwickelte oder erworbene Software zur Quel- 
len-TKÜ und Onlinedurchsuchung den Polizei- und Strafverfolgungsbehör- 
den des Bundes und der Länder zur Verfügung stellen, wenn die neu geschaf- 
fenen Rechtsgrundlagen zur Telekommunikationsüberwachung und Online- 
durchsuchung in der StPO in Kraft treten? 

Es wird auf die Vorbemerkung sowie den als Verschlusssache mit dem Einstu- 
fungsgrad „VS — Nur für den Dienstgebrauch“ eingestuften Antwortteil gemäß 
der Vorbemerkung der Bundesregierung verwiesen.* 


33. Teilt die Bundesregiemng die Auffassung, dass die Zurückhaltung bzw. feh- 
lende staatliche Meldung jeglicher Formen von Sicherheitslücken an Her- 
steller wie Bürgerinnen und Bürger im konkreten Fall nicht nur Gefahren für 
Einzelpersonen, sondern für die kritischen Infrastrukturen der Bundesre- 
publik Deutschland insgesamt nach sich ziehen können, und wie verantwor- 
tet und rechtfertigt sie diese gravierende Gefährdungslage? 

Schwachstellen bzw. Sicherheitslücken in informationstechnischen Systemen 
können, sofern diese Personen oder Stellen bekannt werden, die eine Ausnutzung 
der Schwachstellen zu rechtswidrigen Zwecken beabsichtigen, Risiken für IT- 
Infrastrukturen sowie für Bürgerinnen und Bürger darstellen. Daher diskutiert das 
BSl gemäß seines gesetzlichen Auftrages regelmäßig Erkenntnisse zu Sicher- 
heitslücken, die öffentlich bekannt sind, auf eigenen Analysen beruhen oder im 
Rahmen der Zusammenarbeit von CERTs gewonnen werden, mit den betroffenen 
Herstellern, damit diese die Sicherheitslücken kurzfristig schließen können. Falls 
sich aus Sicherheitslücken eine Gefährdung für Bürger, Unternehmen oder Ver- 
waltungseinrichtungen ergibt, spricht das BSl gemäß seines gesetzlichen Auf- 
trags darüber hinaus zielgruppenspezifische oder öffentliche Warnungen aus. 
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